ما هي ادوات التحكم عن بعد؟
أدوات التحكم عن بعد Remote Administration Tools هي برمجيات يستطيع مستخدمها التحكم بجهاز آخر سواء كان في الغرفة نفسها أو في البناء نفسه أو في بناء في دولة أخرى عبر استخدام شبكة الانترنت.
تستخدم هذه الأدوات ضمن الشركات من قبل قسم الـ IT ضمن الشركة لإدارة الحواسب في الشركة وضمان تحديث أنظمة التشغيل ومساعدة الموظفين ضمن الشركة على تنصيب البرامج خاصة أنهم عادة لا يملكون حقوق مدير Admin وأيضا لمساعدتهم في حال وجود مشكلة معينة.
تستخدم أيضا للتحكم بالأجهزة التي لا يمكن الوصول إليها بشكل فيزيائي (مثلا التحكم بأجهزة بقمر صناعي في المدار أو مسبار في الفضاء البعيد...) وغير ذلك من الاستخدامات المشروعة.
من هذه البرمجيات برنامج تيم فيوير TeamViewer والبرنامج الرائع DWS وبرنامج اني ديسك AnyDesk وبرامج كثير تؤدي نفس الغرض.
توجد فئة من هذه البرمجيات تعتبر من أخطر البرمجيات الخبيثة. تسمى هذه البرمجيات Remote Administration Tool Trojans أو Remote Administration Trojans واختصارا يطلق عليها راتس RATs كناية عن الجرذان في إشارة إلى الشعور المقزز الذي يصيب خبراء الأمن عندما يسمعون عن إصابة أحد المستخدمين بها.
إذا فالراتس RATs تمنح مستخدمها الصلاحيات للولوج إلى النظام وملفات النظام بصلاحيات مدير النظام، أي بكلمات أخرى تمنح مستخدمها إمكانية معاينة كامل الملفات والأفلام وملفات الصوت المخزنة على الحاسب وإرسال نسخ منها عبر الانترنت إلى المهاجم. كما تسمح له بتشغيل ميكروفون الحاسب المصاب وتسجيل الصوت وإرساله إلى مستخدم الرات أو تشغيل كاميرا الحاسب المصاب وتسجيل الصورة وإرسالها إلى صاحب الرات أو كليهما (صوت وصورة) طالما كان الحاسب المصاب يعمل سواء كان المستخدم جالسا أمام الحاسب أو لم يكن.
وأيضا تعطي مستخدم الرات إمكانية معاينة شاشة الجهاز المصاب عن بعد كما في البث المباشر طالما كان الجهاز متصلا بالانترنت. وقد تعطي مستخدم الرات إمكانية معاينة حسابات المستخدم على الانترنت (إن لم يكن قد أخذ الاحتياطات مسبقا لحمايتها) وقد يمكنه ذلك من استخدام الجهاز المصاب لإرسال رسائل إلى أشخاص آخرين بهدف إصابتهم أو استخدام الجهاز المصاب لمحاولة اختراق أجهزة أخرى باستخدام برمجيات خبيثة يشغلها مستخدم الرات عن بعد. ويحدث كل هذا دون علم صاحب الحاسب بذلك وغالبا دون إمكانية أن يعرف صاحب الحاسب حدوث ذلك. والقصص حول المصائب التي سببتها هذه البرمجيات كثيرة. وهي بذكل تشبه كثيرا برمجيات الروتكيتس Rootkits.
بالمختصر تعتبر الروتكيتس Rootkits ومثلها الراتس RATs على أنواعها من أخطر البرمجيات الخبيثة وأسوأها آثارا وقد تكلمنا عن الروتكيتس قبل ذلك.
بسبب خطورتها وبسبب صعوبة التعامل معها، سنناقش فيما يلي عددا من النقاط التي نعتقد أنها ستفيد القراء في فهم الأساليب الأكثر شيوعا بين المهاجمين لإصابة حواسب الضحايا بالروتكيتس (وأيضا بأحصنة طروادة للتحكم عن بعد Remote Administration Trojans والتي تعرف اختصارا بالـ راتس RATs).
أقرأ أيضاً: ماهو الروتكيتس Rootkits ؟
اكتشاف إصابة الحاسب بالروتكيت Rootkit attack detection
ليس من السهل اكتشاف الروتكيت و ذلك لأن المهاجمين يعملون على إخفاء آثار الاختراق وآثار الهجوم، والروتكيت تستخدم تقنيات مختلفة لإخفاء نشاطها على الحاسب الضحية، على الرغم من ذلك يعتقد البعض بأنه لا يمكن أن يتواجد مهاجم باحترافية عالية جداً لدرجة عدم ترك أي دليل على حدوث التدخل و هو ما يتم استخدامه لاكتشاف الروتكيت عادة.
وبما أن من الصعب على المستخدم العادي اكتشاف الروتكيت بنفسه فعليه الاستعانة إما بخبراء لاكتشافه أو ببعض الأدوات، لذلك ننصح بدل الانتظار للتأكد بالإصابة بروتكيت والتصرف بعدها بأخذ الاحتياطات الكاملة للوقاية من الإصابة بروتكيت وأيضا اتخاذ الاجراءات التي تخفف من آثار كارثة الإصابة وأيضا القيام بالإجراءات العلاجية بمجرد الشك بالإصابة.
نورد فيما يلي بعض الإيضاح حول صعوبة اكتشاف الروتكيت
برمجيات للكشف عن الروتكيت
لا تتوفر حاليا أدوات أو برمجيات تمتلك القدرة الكاملة على التقاط كل أنواع الروتكيت على الأجهزة، إلّا أنه هناك عدد من الأدوات التي قد تستطيع اكتشاف المشهور منها قبل تنصيبها على أنظمة التشغيل ويندورز Windows مثل حزم مضادات الفيروسات. لذلك إن كان المستخدم يستخدم برمجية روتكيت مشهورة في هجومه قد يستطيع مضاد فيروسات اكتشافه قبل حدوث الضرر لكنه من الصعب جدا أن يكتشفه بعد حدوث الضرر بسبب تقنيات التخفي التي تستخدمها معضم برمجيات الروتكيت لتفادي الاكتشاف من مضاد الفيروسات.
يوجد أيضا أدوات منفصلة عن حزم مضادات الفيروسات تساعد على التخلص من روتكيتس معينة مثل DarkComet RAT Remover وهي أداة خاصة لاكتشاف وإزالة أحد أنواع الروتكيت والذي يطلق عليه اسم DarkComet.
هناك أيضا أنظمة التقاط التدخل Intrusion Detection system وأنظمة تجنب التدخل Intrusion prevention Systems خاصة بالشبكات يمكن تحليل بياناتها لالتقاط أي حركة مشبوهة من قبل أي نظام تم استهدافه.وهي الطريقة التي تعتمدها الشركات والمنظمات الكبيرة لكشف كارثة حدوث اختراق بروتكيت.
أما بالنسبة لأنظمة التشغيل لينكس Linux بالتحديد أو الشبيهة بها يتوفر عدد إضافي من الأدوات التي تكشف الشهير من أنواع الروتكيت المشهورة مثل برنامج Chkrootkit وبرنامج Rootkit Revealer ويجب التأكيد على القيام بتحديث هذه البرمجيات والأدوات بشكل دائم كحال مضاد الفيروسات.
لائحة ببعض برمجيات الراتس RATs
فيما يلي بعض أسماء برمجيات الروتكيتس والتي لاحظنا انتشارها واستخدامها:
- Blackshades
- DarkComet
- Fynloski
- Rbot
- Zapchast
- Xtreme RAT
لوسألني احدهم سؤال وقال ما هواول حل تقوم به اذا اكتشفت ان جهازك مصاب ببرمجيات الروتكيتس او RATs بدون اي تردد او تفكير هوفصل الانترنت من الجهاز وبعدها اقوم بالمعالجة.
في النهاية، إذا كان لديك إي استفسار يثير اهتمامك، أخبرنا في التعليقات بالأسفل، وسنكون جاهزين بالرد عليك في أقرب وقت ممكن، نراكم في موضوع آخر، فلا تنسونا من نشر المقال لتعم الفائدة.
المصدر(1)